IBM QRadar SOAR(安全编排、自动化和响应)旨在加快和增强安全运营团队的事件响应流程。QRadar SOAR 使用自动化和情报来助力分析人员针对潜在安全事件采取快速、果断的行动。QRadar SOAR 具有屡获殊荣的运行手册设计器、300 多项集成以及强大的泄露响应模块,旨在帮助您扩展和优化您的安全团队。
案例管理
借助 QRadar SOAR 先进的案例管理功能,分析人员可以轻松查看额外的事件背景信息,以加快和改进调查流程。此外,仪表板可视化和案例报告有助于总结关键指标和发现并在各个团队之间分享,从而提供整个组织范围内的可见性。
- QRadar SOAR 让分析人员能够通过工件可视化,对案例进行深入调查。每个案件中的“证据”选项卡提供了与每个事件相关的发现和工件,集中显示了额外的背景信息。分析人员还可以在附件和注释部分记录其他发现和思路。
- QRadar SOAR 分析仪表板可根据您的访问和权限级别,显示各种图表和图形,供您查看统计信息。用户可以根据一系列预定义小部件(例如数据透视表和图表)自定义仪表板视图,以更好地了解按负责人、类型、持续时间、严重程度等划分的 MTTD、MTTR、未完结/已完结案例。
能够直接在 QRadar SOAR 内生成针对单个事件或多个事件的报告,因此可以在不同团队之间以及与领导层轻松共享信息,从而提高整个事件响应流程中的可见性和清晰度。
运行手册和自动化技术
QRadar SOAR 的运行手册设计器荣获红点设计奖,是一款功能强大的工具,旨在帮助安全团队加快事件响应速度。借助动态的低代码功能,只需几分钟即可设计出全自动运行手册,无需编写任何代码。
运行手册设计器是一个直观的图形用户界面,专为自动化工程师打造,用于创建和定制手动和自动响应。运行手册设计器提供了包含预构建任务、脚本、函数、子运行手册和条件点的库,可供立即使用。用户体验提供了点击和拖动功能,用于将节点添加到画布,用户还可以采用无数种方式连接这些节点,按照自己想要的逻辑来执行相关流程。
数据导航器是 QRadar SOAR v49.0 版本发布的,是运行手册设计器中提供的低代码函数配置框架。使用数据导航器,只需点击几下即可在几秒钟内配置函数输入,而无需编写任何代码。在以前的 QRadar SOAR 的版本中,函数输入和子运行手册输入的定义方法需要具备 Python 和脚本知识。现在,借助数据导航器,运行手册设计器可以在直观的运行手册模式菜单中提供动态输入和子运行手册输入。对于仍然喜欢使用 Python 编写脚本来进行配置的用户,我们仍会在字段选项卡和脚本选项卡体验中显示数据导航器。
运行手册返回功能是 QRadar SOAR v51.0.1.0 版本发布的,是对循环功能的增强,让运行手册设计师和自动化工程师能够在运行手册中设计灵活的逻辑流程,允许流程根据定义的条件跳转到任意其他节点。然后,您的流程可以重新执行函数和任务,同时直观地向您显示已完成的操作,并在审计跟踪中跟踪相关信息。
运行手册进度可视化功能是 QRadar SOAR v49.0 版本发布的,引入了一种查看运行手册进度的新方法。由于运行手册是由 SOC 工程师设计的,安全分析人员可以更轻松地监控运行中的运行手册实例的进度,并随着运行手册进度的推进查看每个节点的状态。因此,分析人员能够更快速、更可靠地做出决策,确定哪些方面可能需要干预,以推动案例进展或是对自动化进行调试。
运行手册实例是 QRadar SOAR v51.0 版本发布的,在运行手册仪表板中提供了一个全新选项卡,运行手册开发人员可以在其中查看 QRadar SOAR 实例中所有运行中的运行手册的整体视图。通过按运行手册状态、激活类型或对象类型,以及更精细的时间和日期筛选条件进行筛选,运行手册开发人员可以快速且可靠地确定需要在哪个方面进行干预,以解决案例级别或源运行手册的问题。
- 原生 JSON 支持是 QRadar SOAR v51.0.0.1 版本发布的,现在支持案例中的原生 JSON 数据。JSON 不再需要存储为繁琐且几乎不能使用的字符串。现在,JSON 输入数据可用于填充数据表、事件字段、运行手册输入等。SOAR 还可以通过利用清晰的缩进、颜色编码和可折叠性来自动将格式应用于数据,让 JSON 信息变得更加易于使用。
集成和 SOAR 应用程序
QRadar SOAR 提供了 300 多个集成,可以帮助您简化事件响应编排和自动化实现过程。
IBM App Exchange 是由 IBM、第三方供应商和更广泛的安全社区开发的一站式服务,用于浏览、共享和下载集成。这些集成旨在增强和扩展 IBM® Security 解决方案的功能。要搜索 300 多项可用的 QRadar SOAR 集成,只需在“QRadar SOAR”选项卡中进行筛选。
可供立即使用的响应内容一直是 QRadar SOAR 高度关注的重点。预构建运行手册内容有助于加快自动化开发并缩短设计时间。为了提供这方面的支持,IBM App Exchange 中的 QRadar SOAR 应用程序(现有和全新的集成)通过 IBM SOAR 集成本身内部的示例运行手册得到了增强。现在,您可以在 IBM App Exchange 中筛选“内容类型”,然后选择“运行手册”来查看 60 多项配备运行手册的 SOAR 集成。在系统中配置了 SOAR 集成后,关联的运行手册会自动添加到运行手册库中。
应用程序主机(以前称为边缘网关)是一种基于 Kubernetes 的容器部署环境,用于托管应用程序容器。从 IBM App Exchange 下载 SOAR 集成后,用户需要将其导入到自己的 QRadar SOAR 环境中,配置该集成,并将其部署在应用程序主机上,以启用需要使用的应用程序。
泄露响应
QRadar SOAR 泄露响应旨在简化安全事件发生后对数据泄露通知法律的数据泄露合规。它让 SOC 分析人员能够采取恰当的步骤并与恰当的团队成员协作,以应对涉及敏感信息、个人数据、个人身份信息 (PII) 和其他类型数据的安全漏洞。泄露响应集成了 SOAR 和数据泄露报告,可以为组织提供对全球 200 多部隐私法规的支持,让信息安全团队能够将隐私报告任务集成到其整体事件响应运行手册中。
QRadar SOAR 泄露响应的核心是全球知识库。该数据库定期进行更新,涵盖了全球各地的数据泄露通知要求(例如 GDPR 和 CCPA),以及存在隐私泄露报告要求的行业特定法规(例如 HIPAA)。由数据隐私专业人员组成的内部团队负责管理全球知识库,并与监管机构、政府机构、IBM 客户群中的隐私专业人士以及更广泛的隐私社区进行沟通,以确保及时更新。
SOAR 泄露响应可通过将隐私特定任务直接集成到整体事件运行手册中,来加快对数据泄露的响应速度。这些隐私任务详细说明了为满足相关报告要求,安全运营中心 (SOC) 或隐私团队为满足相关报告要求应采取的建议步骤。
能够直接在 QRadar SOAR 内生成针对单个事件或多个事件的报告,因此可以在不同团队之间以及与领导层轻松共享泄露事件详细信息,从而提高整个事件响应流程中的可见性和清晰度。